17-летний гений взломал крупнейшие компании мира. Остаток жизни он проведет в психиатрической больнице строгого режима
В декабре 2023 года в Англии вынесли приговор по одному из самых необычных дел, связанных с киберпреступностью. Его основной фигурант Арион Куртаж совершил первую серьезную атаку, когда ему было всего 16 лет. Парень, учившийся в спецшколе, умудрялся взламывать гигантские корпорации, даже когда за дверью стояли сотрудники полиции, отобравшие у него ноутбук. Он же был причастен к широко известному взлому компании Rockstar Games, после которого в сеть попали ролики из готовящейся к релизу игры GTA 6. Однако Куртажу удалось избежать тюремного заключения. «Лента.ру» публикует историю хакера.
Гений под присмотром
Около девяти часов вечера 22 сентября 2022 года наряд полиции Лондона дежурил у двери комнаты М15 однозвездочного бюджетного отеля Travelodge Bicester в английском Оксфордшире. Они ожидали команды, после которой должны были зайти в помещение и захватить единственного находившегося там человека. Его ник в Telegram отсылал к женскому имени Лили Ховарт. Но силовики прекрасно знали, что внутри — мужчина. Точнее, 17-летний юноша.
На него лондонскую полицию вывело расследование взлома компании Rockstar Games, в результате которого в сеть слили 90 роликов из игры GTA 6. Вот только приехав к отелю, они столкнулись со своими коллегами. Другие полицейские уже какое-то время присматривали за хакером. Они знали, что в его послужном списке к 17 годам были Microsoft, Uber, Samsung, NVidia и T-Mobile. Все это, как считало следствие, Куртаж взломал всего лишь за девять месяцев.
Мы подтверждаем факт вторжения в нашу сеть, в результате которого третья сторона незаконно получила доступ и загрузила конфиденциальную информацию из наших систем, включая ранние кадры разработки игры Grand Theft Auto. Мы крайне разочарованы тем, что именно таким образом вы узнали некоторые подробности о GTA 6 Официальное заявление Rockstar Games
Юный хакер переехал в отель после того, как его недруги по киберпреступному миру вынесут приговор по делу о торговле персональными данными и хранении детской порнографии.
Полицейских, которые в итоге все-таки попали в номер M15, больше всего удивило то, что у Куртажа не было даже ноутбука: его изъяли по решению суда. Для взлома Rockstar Games он использовал IPhone 13 Pro Max, телевизор в номере и Amazon Fire Stick — ТВ-приставку, которая открывает доступ к стриминговым сервисам и позволяет подключаться к сети. Этого хватило, чтобы получить доступ к внутренним чатам разработчика в программе Slack, где и были выгружены в рабочих переписках 90 видеороликов.
Corriere della Sera // В сети не так много снимков Ариона Куртажа. Почти все они связаны с одной и той же поездкой на рыбалку с дядей
Впрочем, даже не зная, как именно преступник получил доступ с таким ограниченным набором устройств (он не выдал код разблокирования смартфона), можно предположить, что он точно не смог обеспечить при этом свою анонимность. От слива роликов до приезда к дверям номера M15 прошло всего шесть дней. В материалах суда сказано, что Куртаж использовал для взлома в том числе методы социальной инженерии, замаскировавшись под сотрудника компании-подрядчика, который забыл данные от своего аккаунта во внутренних системах Rockstar Games.
Группировка, к которой причастен Куртаж, взламывала одну корпорацию за другой
Первой жертвой группировки Lapsus$, одним из главарей которой считается подросток, в декабре 2021 года стало Министерство здравоохранения Бразилии. Это на время запутает следствие, предположившее, что хакеры базируются именно в Южной Америке. Ведомство отделалось относительно легким испугом: отказавшись платить выкуп, оно полностью потеряло 50 терабайт данных. Одного из участников этого взлома, тоже подростка, арестовали лишь в октябре 2022-го, но имена нескольких его подельников стали известны куда раньше.
Уже в феврале жертвой группировки стал разработчик графических процессоров NVidia. Компания потеряла данные учетных записей 71 тысячи сотрудников, а также значительные объемы сведений о внутренних разработках. Требования взломщиков несколько раз менялись: сначала они просто вымогали деньги, а затем потребовали снять с видеокарт встроенные ограничения, препятствующие майнингу криптовалют.
Лондонская полиция намучилась с Куртажем, который однажды просто баловства ради взломал ее серверы
Еще не закончив переписку с NVidia, хакеры из Lapsus$ проникли во внутренние системы Samsung. Добычей хакеров стали 190 гигабайт данных и исходные коды линейки смартфонов Galaxy.
Отвлекшись в середине марта 2022 года на чуть менее крупные корпорации, группировка атаковала гиганта европейского телеком рынка T-Mobile и компанию Microsoft. Во втором случае были украдены около 37 гигабайт данных, среди которых оказались, как утверждали сами члены группировки, около 90 процентов исходного кода поисковой системы Bing.
Компания Microsoft относительно легко отделалась, учитывая аппетиты Куртажа
О взломе T-Mobile стало известно уже после арестов членов группировки в Лондоне. Оказалось, что Куртаж и его сообщники покупали персональные данные сотрудников компании, чтобы проникнуть в сети компании. Затем они выполняли атаку с подменой сим-карт, базирующуюся на принципах социальной инженерии, и перехватывали контроль над всеми входящими сообщениями жертвы. Таким образом они обходили двойную аутентификацию. Западные журналисты провели свое расследование, которое показало: если не получалось провести вторжение с помощью данных одного сотрудника, то члены Lapsus$ просто покупали данные другого.
Получив в итоге доступ к внутреннему инструменту T-Mobile по управлению учетными записями, Куртаж попытался найти аккаунты, связанные с Федеральным бюро расследований США и Министерством обороны. Поняв, что для входа в них требуется дополнительная аутентификация, 17-летний на тот момент хакер отступился, чем вызвал недовольство коллег по группировке.
Уже в конце марта 2022 года в Лондоне арестовали семерых хакеров, младшему из них было 16 лет, а старшему — 21 год. Среди них был и Куртаж, один из предполагаемых лидеров Lapsus$.
Жертва внутренних разборок
Вероятно, полиция Лондона использовала данные, которые утекли в сеть после деанонимизации Куртажа, чтобы задержать его. Конкуренты хакера выложили значительное количество данных о нем на специализированную площадку Doxbin, которая используется на Западе для доксинга, то есть онлайн-преследования, угрожающего с учетом полноты представленных сведений перерасти в реальное.
На площадку выложили полную биографию хакера, его аккаунты в социальных сетях, на даркнет-форумах и в электронной почте, номера телефонов и то, какими устройствами он пользуется. Доксеры не обошли вниманием и родителей хакера Сьюзан и Этмонда (этнического албанца), хотя последний и не жил с семьей много лет, а также родного брата и дядю.
Семье Куртажей принадлежал не весь этот дом, а только расположенный вторым слева светло-коричневый блок
Ответственность за слив данных взяли на себя четыре человека, среди которых оказались уже упоминавший Фитцпатрик (скрывавшийся под ником Pompompurin) и остающийся неизвестным владелец Doxbin под псевдонимом kt, позднее продавший площадку. Сам Куртаж просил kt удалить его персональные данные и даже выплатил за это 75 тысяч долларов. Однако администратор ресурса, приняв деньги, не удалил сведения, остающиеся в открытом доступе и сегодня.
Столь значительная сумма выкупа не должна удивлять: лично Куртаж с декабря 2021 года по март 2022-го смог заработать не менее 300 биткоинов (14,2 миллиона долларов на момент ареста киберпреступника), шантажируя взломанные им и его соратниками компании. Но если гиганты рынка платить отказывались, то организации поменьше, не желая огласки, немного поторговавшись, переводили криптовалюту на указанные счета. Впрочем, в золоте Куртаж точно не купался: практически все эти деньги подросток, которому на момент внезапного обогащения едва исполнилось 17 лет, спустил в онлайн-казино и на ставках.
Предполагается, что война с хакером началась из-за форума Doxbin — именно на нем потом и выставили личные данные Куртажа. В ноябре 2021 года он купил форум у kt, однако, по словам самого бывшего администратора, «полностью уничтожил репутацию ресурса». В итоге kt выкупил сайт обратно всего за 20 процентов от суммы прошлой сделки. Куртаж, поняв, что допустил ошибку, заблокировал несколько ключевых аккаунтов на площадке, а также попытался угнать ее учетную запись в соцсети для геймеров Discord. После этого и началась война.
Родители хакера, с которыми связались журналисты, практически ничего не знали о его деятельности. Его мать так и не открыла дверь дома в Оксфорде, через домофон сказав, что ей ничего не известно об обвинениях в адрес сына и об утечке материалов мировых корпораций.
До недавнего времени я ничего об этом не знал. Он никогда не говорил о хакерстве, но он очень хорошо разбирается в компьютерах и проводит за ними много времени. Я всегда думал, что он играет Этмонд Куртаж, отец лидера группировки Lapsus$
Авторы слива тем временем достаточно однозначно продемонстрировали свое отношение к молодому хакеру: «Люди часто говорят об Арионе таким тоном, будто он криминальный авторитет и лучший хакер, когда-либо живший на свете. На самом деле Арион был практически никем. Свои 14 миллионов долларов он потерял, как и последние клетки головного мозга, а его подход к обеспечению собственной безопасности в сети оказался безнадежно устаревшим».
Годы, полные агрессии
Доказательная база, оперативно собранная британской полицией после ареста хакера, была исчерпывающей. Уже после ареста Куртажа оказалось, что им интересовалось и Федеральное бюро расследований США. Оно включило членов Lapsus$ в свой список наиболее разыскиваемых преступников за атаки на американские компании.
Однако экстрадиция не состоялась. Летом 2022 года Королевский суд заслушал показания нескольких врачей. Среди них оказался и наблюдавший хакера в детстве Николас Хиндли. Он назвал Куртажа «человеком с особыми нарушениями», припомнив, что впервые встретился с подростком по просьбе спецшколы, в которой тот учился. Преподаватели жаловались, что не могут контролировать Куртажа, нередко проявляющего агрессию по отношению к другим ученикам. Так судьи получили экспертное подтверждение диагнозам, уже перечисленным в медицинской карте кибервзломщика: аутизм и СДВГ (синдром дефицита внимания и гиперактивности). По мнению Хиндли, Куртаж «функционирует в лучшем случае на уровне одного процента в сравнении со своими сверстниками».
Более того, в жизни подростка был инцидент, когда его поместили в закрытое учреждение после атаки на собственную мать. Уже там Куртаж вел себя так, что сам стал жертвой насилия со стороны одного из сотрудников, который позднее был за это осужден.
Пока судьи разбирались в тонкостях психологического портрета обвиняемого, сам Куртаж обживал тот самый номер M15, а за три дня до атаки на Rockstar Games успел заглянуть еще в дебри инфраструктуры сервиса Uber. После визита лондонской полиции хакера перевели в больничное отделение тюрьмы для подростков Фелтем: в Великобритании к людям с аутизмом относятся с особым трепетом, опасаясь, что они могут добровольно прервать свои жизни, находясь в обычных камерах.
В том числе из-за этого вопрос экстрадиции Куртажа в США даже не рассматривали. Впрочем, даже из больничного отделения поступали тревожные новости о хакере. Известно, что в последние несколько месяцев 2023 года Куртаж совершил десятки актов насилия и вандализма, направляя свои негативные эмоции как на сотрудников, так и на предметы интерьера.
Куртаж оказался гениальным взломщиком, который из-за расстройств психики даже не мог побеспокоиться о собственной безопасности
На слушаниях в суде выступила и психиатр Клаудия Кэмден-Смит, наблюдающая Куртажа после достижения им совершеннолетия. «Он не хочет отличаться от других, он хочет быть таким, как все. Хочет, чтобы его считали модным и готовым рисковать», — сказала она. Однако, отвечая на вопрос обвинителя о том, будет ли Куртаж пытаться вернуться к криминальной деятельности после освобождения, она добавила: «Это то, что он сказал мне при последней встрече».
Сам Куртаж принимал участие в заседаниях по видеосвязи. Присутствовавшие на последнем декабрьском слушании журналисты Daily Mail отметили, что, выслушав приговор, одетый в черную футболку и темные брюки Куртаж, не проявил никаких эмоций, когда охранник выводил его из помещения. Сложные слушания дела, включавшего обвинения по 12 пунктам, закончились достаточно необычным приговором.
Заработал Куртаж менее чем за год активной хакерской деятельности 14,2 миллиона долларов
21 декабря 2023 года Куртаж был отправлен на пожизненное принудительное лечение (врачи будут не столько лечить хакера, сколько корректировать его поведение особыми методиками). В приговоре содержится сноска о том, что он может выйти на свободу раньше, если врачи посчитают его готовым к жизни в обществе. Но ближайшие годы он точно проведет в психиатрической лечебнице строгого режима Marlborough House в британском Милтон-Кинсе, что всего в 60 километрах от его собственного дома.